我正在嘗試模擬我想附加到用戶的 IAM 策略,以便我可以限制他們對兩個存盤桶的訪問,一個用于檔案上傳,另一個用于檔案下載。
策略模擬器告訴我以下策略不起作用,我無法弄清楚原因,但這似乎與通配符有關。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetObject",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::mybucket-*-report-output/*.csv"
]
},
{
"Sid": "PutObjects",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::mybucket-*-report-input/*.csv"
]
}
]
}
策略模擬器說以下策略確實有效:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GetObject",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::mybucket-*-report-output"
]
},
{
"Sid": "PutObjects",
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::mybucket-*-report-input"
]
}
]
}
關于如何構建策略,我一定缺少一些東西,但我想限制對策略中存盤桶的訪問,對于提到的操作,但我也想確保用戶只能添加和檢索帶有.csv擴展名的檔案。
下面是模擬器的截圖:
uj5u.com熱心網友回復:
您的策略 100% 正確 - IAM 策略模擬器由于某些荒謬的原因顯示錯誤的結果。
我也可以使用上述政策重現您的問題,結果無處不在 - 有時兩者都允許,都被拒絕,只允許一個等等。
雙通配符似乎有問題,有時它會在回傳的 HTTP 回應中評估錯誤的資源 ARN 回傳(我有時看到兩個 ARN 設定為output而不是僅設定為 1output在網路中HTTP 回應的選項卡 - 快取?)。
它不僅限于PutObject兩者之一,它給我帶來了大量與雙通配符沖突的結果,即使對于其他操作,如s3:RestoreObject.
無論如何,我不確定問題是什么,但您的政策是正確的 - 在這種情況下忽略 IAM 政策模擬器。
如果您可以訪問 AWS Support,我會在那里創建一個支持票或在
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/353493.html
下一篇:S3存盤桶定價和性能